安全資訊

    筆者最近工作原因不斷接觸等保相關工作，也產生了很多感觸、之前做過幾次分享，在此總結一下，如有疑問或者難題歡迎留言探討，廢話不多說先把導圖上了：

        一、測評對象：
    從測評對象上來講，等保更全面的覆蓋了互聯網新興行業包括云計算、移動互聯、物聯網、工控系統，由于筆者行業經驗有限，物聯網、工控可能并不了解，但云計算方面大致研讀了一下，在責任劃分上比較清晰，比如使用了Iaas服務，那么物理層以上的歸自己測評，Pass服務則應用級以上自己測評，如果采購了Saas服務則賬戶體系等由自己測評，總歸一句話：自己那攤子事自己測評。
        二、測評流程
    測評流程分為：確定定級對象——初步確定等級——專家評審簽字——主管部門簽字——公安備案審查——最終確定定級
    定級對象：其中定級對象根據系統面向對象（如面向內部還是面向社會群眾）、系統內存儲與傳輸數據的敏感程度（如是否有真實的用戶手機號、身份證等信息）以及存儲的量級等，在定性過程中其實可以考慮更同行業、同類型系統去對比
    專家評審：近期卡的稍微嚴格了一些，建議聘請三位外部專家（具備評測資格資質的）共同評級并簽字，備案期間會檢查；
    公安備案審查：近期臨近十月一，由于之前發文說十月一之后公安部將不再接收等保1的報告，所以最近定級備案、等保測評的比較多，目前北京地區貌似海淀非?；鸨?，其他分局還好。
        三、測評差異項
    總體來講更加務實一些，之前演講時做了幾條總結：
    刪除過時攻防姿勢，新增應對新型攻擊要求；
    刪除審計結果報表，重視審計過程記錄；
    網絡邊界的訪問控制細粒度強化；
    個人信息保護要求強化，強化賬戶系統；
    可信計算技術建立系統到應用的信任鏈；
    降低內部人員專人專項，加強外部人員安全管控；
    加強外部與自研服務系統安全檢測，加強漏洞風險管理；
    管理制度方面其實大部分企業都是對內一套對外一套，對內務實對外務虛；
        四、高風險項
    等保高風險項很快隨之而出，其實該部分內容相對還是很實用且在基礎安全中需要關注的點，大概分為兩塊：1、網絡設備、安全設備、主機設備；2、應用系統。整體來講在細則上可以做一些總結提煉：
    1、弱口令、默認口令、
    2、遠程管理防護
    3、雙因素認證
    4、惡意代碼防范
    5、審計措施
    6、不必要服務處置
    7、已知重大漏洞修復、測試發現漏洞修復
    8、用戶權限管控
    9、訪問策略管控
    10、數據完整性、保密性（傳輸、存儲）、備份恢復
    11、數據采集、存儲、使用、訪問以及敏感信息處理
        五、其他實時性問題
    其實實時性的問題更加準確且能預測企業需求，比如筆者近期接到的一些通知，其實在其他單位也很快收到了相同的通告，并以此去分享處理方式方法，相互協助幫忙更加實用一些，也希望各位能多分享自己最近接觸到的事件。